网吧频繁掉线
各位仁兄大家好:相信在网管在网吧工作时都会遇到网络掉线的问题,在无法查出掉线的原因时你的老板总是用异样的眼光怀疑你的能力吧!,而你在努力过之后也无法查到掉线原因你自己的也包括也会怀疑自己的能力。现在我就给大家说说传奇杀手引起网吧掉线的原因,也许我说的不是你要的问题,但总会给你们一起帮助,这是我亲身经历过的。或许你在网吧查到关于网吧掉线的原因比我说的要详细,但是亲身经历过网吧掉线的问题我总是想与大家一起来分享。现在我来和大家说说网吧传奇杀手引起网吧掉线的全过程吧!
在2006年3月5号以后我的网吧就频繁掉线。我在检查时,却怎么也找不到原因。我查过病毒击攻,黑客入侵,网线,交换机,路由器后,我的目标落在了路由器上,因为在掉线后马上重启路由器,可以马上连接上网。后来我见意老板换一个路由器。结果没过两天还是频繁掉线。我真的没有办法了。后来请过网通的工作人员来查查结果,他也是没有办法。在每次上班的时候老板总是用不信认的眼光看我。我真的是苦恼呀。自己真是无能,我是一个合格的网管吗!~~~`
在网上论坛的时候网友们都说是我的路由器有问题,可是我换过了,结果还是一样的,在一次偶然的时候我在网上发现了传奇杀手这个病毒的文章,看过之后我简直要发狂了,于是我照上面的提示,做了一遍:
arp /a 发现我的七号机器,和路由器的MAC地址是一样的。这说明我中了传奇杀手这个病毒,真是一个无意中的兴奋啊!~~
网吧传奇杀手简介:
网吧传奇杀手”病毒是瑞星全球反病毒监测网,在2004年7月14日截获一个专门窃取“传奇”游戏密码的恶性木马病毒,并命名为“网吧传奇杀手(Trojan.PSW.LMir.qh)”。“网吧传奇杀手”病毒破解了《传奇2》的加密解密算法,通过截取局域网中的数据包,然后分析《传奇》游戏通讯协议的方法截获用户的信息。在局域网中运行这个病毒后,就可以获得整个局域网中传奇玩家的帐户和密码等信息。
传奇杀手工作过程:
网吧传奇杀手”木马病毒的工作原理,其实是对局域网中的机器进行Arp欺骗,虚拟网吧内部的网关地址,以此来收集局域网中传奇游戏登录信息,通过解析《传奇2》加密方式从而得到用户信息的破坏性软件。该软件只要在网吧的任何一台客户机上安装并且运行,就可以获取整个网吧内所有的传奇游戏登录信息。
网吧传奇杀手”病毒工作时,首先在将安装有“网吧传奇杀手”机器的网卡MAC地址通过Arp欺骗广播至整个局域网,使局域网中的工作站误认为安装“网吧传奇杀手”的机器是该局域网的网关。由于局域网中的所有信息,都必须通过网关来中转,当网吧有此病毒在运行时,所有的传奇玩家信息便绕过了真正的网关,传输到安装有“网吧传奇杀手”的机器中。当病毒程序搜集到局域网中的相关信息后,通过解密《传奇2》的游戏通讯协议,可以获得所有传奇游戏玩家的帐户名称和密码。这样,“网吧传奇杀手”木马病毒可以轻松盗取传奇玩家的帐户信息。
“网吧传奇杀手”木马病毒发作特征
①网络连接短暂中断
当“网吧传奇杀手”病毒发作时,网吧所有的机器由于失去了真正的网关地址,网络连接会出现短暂中断,当病毒搜集《传奇2》玩家信息操作完成后,网络便恢复正常。网络中断时间,一般会在30秒到几分钟之间,持续时间不会太长。
②网络中出现相同的MAC地址
病毒发作时,我们使用IPbook超级网上邻居、网吧过滤王实名制管理软件等网络管理软件查看网络时,会发现局域网中存在着相同的MAC地址。如果有多台机器安装了“网吧传奇杀手”木马病毒,局域网中则会出现不同的IP地址中却存在相同的MAC地址。
如下是我的操作:
arp /a
Interface:192.168.1.41---0*1003
192.168.1.1 00-14-78-b1-ba-1e dynamic
192.168.1.6 00-14-2a-73-ac-84
192.168.1.7 00-14-78-b1-ba-1e
…………………………………………
ipconfig /all
Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.
C:\Documents and Settings\Administrator>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : o41
Primary Dns Suffix. . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地连接:
Connection-specific DNS Suffix. :
Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet
NIC
Physical Address. . . . . . . . . : 00-14-2A-84-D6-17
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.41
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 202.96.64.68
这说明:我的7号机器和路由器的MAC地址是一样的,也就是说我中了传奇杀手木马了。
后来我就彻底的把七号机器重新克了一下。果然就是个问题现在已经好了。
总结:我们遇到这样的问题,解决的最好办法就是把网卡MAC地址与路由的MAC地址捆绑这样不会让传奇杀手有机可程,现在瑞星的最新升级病毒库包里可以查杀传奇杀手。好了就说这么多吧希望能给大家带来快乐。
现在瑞星2006的18.18.40最新的病毒库可以查杀网吧传奇杀手木马,卡巴最新的病毒库也可以查杀.要是有的朋友中了这类木马可以先用网络执法官收索网吧中客户机的mac址是否与路由器的mac地址一样,只要有客户机与路由器的mac地址一样,你就可以确定是那台客户机中了木马.这样能大大的提升收索效率. 很好~~学习了~~ 好帖子啊,顶顶啊 呵呵 现在不用了撒瑞星可以杀了
页:
[1]